Yetki Setleri
    • 14 Jul 2024
    • 7 Minutes to read
    • Dark
      Light

    Yetki Setleri

    • Dark
      Light

    Article summary

    Yetki Seti Nedir ?

    İçeriklere erişim kontrolü pek çok kurum için PaperWork’ün en önemli özelliklerden biridir. Bir PaperWork sistem yöneticisi için en zor görevlerden biri de içeriğe erişim için uygun erişim kontrol modelini tasarlayabilmektir.

    PaperWork platformu nesnelerden oluşmaktadır. Kabinet, dosya kartı, rapor gibi birimlerin hepsi birer nesnedir ve her nesnenin bir yetkiye bağlı kullanım durumu vardır. 

    Erişim kontrol modelinde ortaya çıkan ihtiyaçlar kurumdan kuruma büyük ölçüde farklılık göstermekle birlikte, aynı kurum içerisinde farklı departmanlar arasında da farklılıklar göstermektedir. Paperwork sistem yöneticisinin görevi erişim yetkilerini sistemin üzerinde olumsuz bir etki yaratmadan kurumun güvenlik hassasiyetlerine göre tasarlayabilmektir.

    Bu yazımızda erişim yetki modeli tasarımında sıkça kullanılan yöntemler ile bir erişim yetki modelinin “iyilik derecesini” anlayabilmek için nasıl değerlendirilmesi gerektiğine değineceğiz.

    Erişim Kontrol Paneli Nedir?
    Erişim kontrol modeli tabiri Paperwork içindeki nesnelere (belge, kabinet vb.) erişimde kullanıcılar, kullanıcı grupları ve erişim yetkilerinin tasarımını anlatır. Erişim kontrol modeli tasarımında Paperwork’te Yetki Setleri kullanılır. Bu nedenle erişim kontrol modeline karar verebilmek için Yetki Setlerini iyi anlamak gerekir.

    Yetki setlerinde varsayılan değer olarak üç grup vardır.

    Nesne Sahibi

    Kaydı oluşturan kullanıcı o kaydın sahibidir. Eğer kaydı oluşturan kullanıcı, söz konusu yetki setine eklenmemişse veya daha üst bir yetki setine atanmamışsa, nesne sahibine tahsis edilmiş yetki dahilinde yetki setinin tanımlanmış olduğu kayıtlar üzerinde yetkileri olacaktır.

    Tüm Kullanıcılar

    Tüm Paperwork kullanıcıları bu gruptadır. Tüm kullanıcılar verilen yetkiler dahilinde kayıtları görebilirler ve düzenleyebilirler. 

    Bilet Kullanıcısı

    Bu kullanıcı, bir elektronik posta aracılığıyla bir kaydın veya bir belgenin gönderildiği bir kullanıcıdır. Fakat PaperWork kullanıcısı değildir. Bir elektronik posta bir kişiye gönderildiğinde, elektronik posta içinde bir de bağlantı adresi gönderilir. Bu bağlantı adresi sayesinde, o kullanıcı yalnızca o kayda veya belgeye erişebilir. Bilet kullanıcısı bağlantı adresinde tanımlanmış olan belgeye yalnızca kendisine verilen izinlere göre erişebilecektir. Yetki seti oluştururken, tüm kullanıcılar sistemde tanımlanmış olan Default ACL (Varsayılan Yetki Seti)  yetki setine eklenmelidir. Varsayılan yetki seti PaperWork ara yüzü altındaki menüleri görmek ile ilgili bir yetki setidir. Bu yetki seti ile tüm kullanıcılara menü görme yetkisi verilmelidir.

    Eğer kullanıcının sistem yöneticisi olarak tanımlanması gerekiyorsa kullanıcı Tools ACL (Araçlar Yetki Seti) yetki setine eklenmelidir. Böylece, bu yetkinin kullanıcıları menüdeki araçları sistem yöneticisi yetkisiyle görebilirler. Yalnızca sistem yöneticisi olarak tanımlanmış kullanıcılar bu gruba eklenmelidir.

    Default ACL ve Tools ACL diğer yetki setleri gibi bir yetki seti olup kurulumdan sonra yetkilendirme ihtiyaçlarına göre değiştirilebilir. Kullanıcılar yetki seti isminden bağımsız olarak tanımlanan yetki seti ile verilen yetkilere göre işlem yapabilirler.

    Akış ekranlarında Bilet Kullanıcısı
    İş adımı yerine getireni "Bilet Kullanıcısı" seçilen süreçlerde yukarıdaki yetkilendirme durumu farklı çalışır.
    Bilet kullanıcısı, Manuel adımın elektronik formunu yetkiden bağımsız, görebilir ve işlem yapabilir.
    Eklentili bir akış ise belgenin yetkisi yukarıda anlatıldığı şekilde olur.     

    Yetkilendirmeler

    Yetki seti tanımlama ekranı şu şekildedir :

    Kullanıcılara PaperWork platformunda verilen izinlerin tanımlanmasıdır. Aşağıdaki gibi detaylandırılabilir.

    Yetki Seti ID Bilgisi
    Yetki seti kaydedildikten sonra detay ekranında yetki seti ID bilgisi görüntülenir. Bu bilgiye özellikle kodlama yaparken ihtiyaç duyulmaktadır.

    Adı

    Yetki setine verilecek isimdir. Yetki setini kullanacağınız her yerde bu isimle görüntülenecektir. Yetki setinin adının, işlevine uygun verilmesi, kullanım kolaylığı açısından tavsiye edilir.

    Kullanım şekli

    Özel veya Genel olabilir. Özel olarak tanımlanan yetki setlerine kodla erişilebilir ancak ara yüzde görüntülenmez. Genel olarak tanımlanan yetki setleri ara yüzde görüntülenir.

    Tipi

    Genel veya Tasarım olabilir. Genel yetki seti standart yetki setidir. Tasarım yetki seti, uygulama içerisinde yapılacak tasarımlarda kullanılır.

    PaperWork, erişim kontrol listesi ile beş (5) temel yetkilendirme yapılamasına olanak sağlamaktadır:

    Temel Yetkiler

    Görme : Bir dosya kartı, kabinet ya da klasörün içindeki kayıtlar listelenir fakat dokümanlar görüntülenemez.

    Okuma : Bir dosya kartı, kabinet ya da klasörün içindeki kayıtlar listelenir, doküman görüntülenir fakat değişiklik yapılamaz.

    Versiyonlama : Bir dosya kartı, kabinet ya da klasörün içindeki dokümanların yeni versiyonu oluşturabilir fakat var olan dokümanda yeni versiyon oluşturulmadan değişiklik yapılamaz. Yani kullanıcılar var olan dokümanı değiştiremez ancak yeni versiyonunu oluşturabilirler.

    Yazma : Bir dosya kartı, kabinet ya da klasörün içinde yeni doküman oluşturabilir, mevcut dokümanlarda ve indeks alanlarında değişiklik yapılabilir.

    Silme : Bir dosya kartı, kabinet ya da klasör ve içindeki dokümanlar silinebilir. Nesne bir dosya kartı ise, kayıtla birlikte tüm ekli belgeler de silinebilir.

    Temel Yetkiler
    Temel Yetkiler hiyerarşik bir sırayı takip eder. Örneğin, okuma yetkisi verildiğinde, önceki yetki olan görme yetkisi de verilmiş olur. Bu şekilde her yetki kendisinden önceki yetkileri kapsar.

    PaperWork temel yetkilerin yanı sıra dokümanlar üzerinde altı (6) farklı yetkilendirme yapılmasına izin verir:

    Belgeler

    Diske Kaydedebilir : PaperWork içerisindeki her doküman PaperWork sunucuları üzerinde saklanır. Kullanıcılar PaperWork sunucularına bağlı olmadan dokümanlara erişemez. Ancak istendiğinde bu dokümanların bir kopyası kullanıcı bilgisayarlarına kaydedilebilir. Yetki verilen kullanıcılar Diske Kaydet ile dokümanları kendi bilgisayarlarına kopyalayabilirler.

    Yetkilendirme Yapabilir : Her dokümanın yetkisi, sistem tarafından otomatik olarak ya da o dokümanı sisteme ekleyen kişi tarafından verilir. Dokümanlar sisteme eklenirken hangi yetki seti ile sisteme kazandırılacağı o anda belirlenir. “Yetkilendirme Yapabilir” yetkisi olan kullanıcılar ise dokümanın sahip olduğu yetki setini bir başka yetki seti ile değiştirebilirler.

    İmzalayabilir : Elektronik imza veya e-imza, Türkiye'de yasal olarak kabul edilen bir elektronik kimlik doğrulama mekanizmasıdır. E-imza, elektronik belgelerin kimlik doğrulaması ve bütünlüğünün sağlanması için kullanılır. Bu yetkinin verildiği kullanıcılar, PaperWork e-imza modülü varsa, bu yetkiye sahip kullanıcılar dokümanları e-imza ile imzalayabilirler. E-imza ile sadece PDF dosyalarının imzalanabileceği unutulmamalıdır.

    Elektronik Posta ile Gönderebilir : Dosya Kartları ya da dokümanlar yine PaperWork aracılığı ara yüzünden e-posta ile gönderilebilir. Yetki verilen kullanıcılar Dosya Kartları ve içerisindeki dokümanlar ile diğer dokümanları indeks bilgileri ile birlikte e-posta ile gönderebilir.

    Yazıcıya Gönderebilir : Yetki verilen kullanıcı dosya içerisinde yer alan dokümanların yazıcıdan çıktısını Yazıcıya Gönder ile alabilir. Bu yetkilendirmenin geçerli olabilmesi için kullanıcının Okuma yetkisine sahip olması gerektiği unutulmamalıdır.

    Kişisel Verileri Görebilir : Yetki verilen kullanıcılar dokümanlarda ya da kayıtlardaki kişisel ve hassas nitelikli kişisel verileri görebilir. Bu yetkinin kullanılabilir olması için ISDD lisansı gereklidir. 

    Erişim ve İşlem Yetkileri bölümündeki Ekle butonu ile yetki setine grup ya da kullanıcı eklebilir. Eklenen grup veya kullanıcıya yukarıdaki yetkilerden biri veya birden fazlası işaretlenerek verilebilir. 

    Kısayol olarak yetki şablonu bölümü kullanılabilir. Bu bölüm şablon niteliğindedir. Seçilen şablonun içeriği otomatik tanımlanmış olur. Şablon tanımlandıktan sonra da detaylarda değişiklik yapılabilir. Bu durumda şablon bölümü "Özel" şeklinde görünür.

    Burada seçilen şablon paylaşım yetki türü belirli özellikleri kapsar ve otomatik olarak yetki seti penceresinde bulunan kutucukları işaretler. Şablonlar seçildiğinde, temel yetkiler ve belgeler bölümünden hangilerinin işaretlendiğini aşağıdaki tablodan görebilirsiniz.


    Makroda Yetki Seti
    "Makro adımında yetki seti içeriğini nasıl değiştiririm?" isimli sayfaya şuradan erişebilirsiniz.
    Default ve Tools ACL
    Her 2 yetki seti de sistemin ilk açılışında kullanılmak üzere tasarlanmıştır. Tools ACL, menü adımlarının yetkilendirilmesinde, Default ACL ise Sistem tipinin tanımında kullanılır. Sistem ilk açıldıktan sonra ihtiyaca göre yeni yetki setleri tanımlanmalı ve bu yetki setlerini kullanmaktan kaçınılmalıdır.

    Yetki Setlerini Makroda Kullanma

    Yetki setlerini makroda eklemek istediğimizde aşağıdaki kodları kullanarak kişi veya gruba yetki seti şablonu ataması yapabiliriz.

    Kullanım Bilgisi

    Bu özellik, Paperwork tanımlama ekranlarında kullanılan yetki setlerinin kullanım bilgilerini görmenize olanak tanır.

    1. İlk olarak, tanımlama ekranında var olan bir yetki setini seçmelisiniz.

    2. Yetki setini seçtikten sonra, "Kullanım Bilgisi" ikonuna basın.

    3. Karşınıza çıkan pencerede yetki setinin kullanım bilgileri yer alır.

    4. Kullanım bilgileri penceresinde, yetki setinin "Kullanım Tipi" ve "Kullanım Yeri" bilgileri vardır.

       - "Kullanım Yeri", yetki setinin Paperwork programında hangi tanımlama ekranlarında kullanıldığını gösterir.

       - "Kullanım Tipi", kullanım şekline göre tanımlanan nesnenin ismini verir.

          Yani, yetki setinin hangi nesne veya öğe üzerinde etkin olduğunu gösterir.

          Mesela, bir yetki seti bir sürecin kimler tarafından başlatılabileceğini belirlemek için kullanılmışsa, kullanım tipi Yetki Seti olarak gözükecektir.

          Kullanım yeri ise bu sürecin ismini gösterir.

    Bu bilgiler, yetki setlerinin nasıl ve nerede kullanıldığını ve hangi öğeleri etkilediğini öğrenmenize yardımcı olur.

    Filtreli Tip Tanımı

    Yetki seti eğer klasör yetkileri etkin olmayan kabinetlerin "Yetkiler" bölümünde "Sabit Değer" veya "Listeden seçim" bölümlerinden birinde kullanılmış ise Kullanım Tipi olarak "Filtreli Tip Tanımı" şeklinde listelenir. "Hiçbiri " seçilmesi halinde "Tip Tanımı" olarak listelenecektir.

    Tavsiyeler

    1. Yetki setleri isimlendirmesi önemlidir. Son kullanıcı ismin ne çağrıştırdığına bakarak seçim yapabilmekte, karar veremiyor ise listedeki ilk seçeneği seçerek devam etmektedir. Yetki seti açıklayıcı, yapılan işlem ile ilişki kurulabilir olmalıdır.
    2. Yetki seti tanımında «Açıklama» bölümü bulunmaktadır. Bu bölümde yetki setinin hangi amaç için tasarlandığı mutlaka belirtilmesi tavsiye edilmektedir. Yetki seti açıklamaları son kullanıcı ekranlarında seçimlerde gösterilmektedir. Kısa ve amacı açıklayan notlar girilmesi tavsiye edilir.
    3. Bazı durumlarda iş akışlarında veya metodlarda dinamik yetki seti oluşturulmaktadır. Dinamik yetki setleri için mutlaka şablon kullanılmalı. İlk önce şablon oluşturulup daha sonra bu şablon için dinamik oluşturulma yapısı kurulmalıdır. Her işlem için yeni bir yetki seti oluşturmak yerine daha önce bu amaçla bir yetki seti oluşturulup oluşturulmadığı kontrol edilmeli ve yetki seti buna göre oluşturulmalıdır.
    4. Özel yetki setlerinin listelere gelmediğini unutulmamalıdır. Sadece işlemler için yetki seti kullanılıyor ise bunlar özel tanımlanabilir. 
    5. Yetki setlerinde Default ACL, sisteme ilk girişi sağlamak amacı ile, Tools ACL de ilk menü yetkileri için tasarlanmıştır. Bu amaçlar için kurum kendi yetki setlerini tasarlamalı sistemdeki bu 2 yetki setini kullanmaktan kaçınmalıdır.
    6. Yetki seti tanımı analizin bir parçasıdır. Analiz sonucunda mevcut yetki setleri incelenmeli, aynı amaç için yeni bir yetki seti oluşturmaktan kaçınılmalıdır.
    7. Belge ve Dosya Kartı Tip Tanımlamalarında ‘Kullanılabilecek Yetki setleri’ ni seçmek mümkündür. Bu yöntem ile kullanıcının önüne sınırlı sayıda yetki seti getirilebilir. Yapılan tanıma göre kullanıcı hiçbir şey seçmeden belge arşivleyebilir.
    8. Yetki setlerinde Kullanıcı Grubu kullanımı yönetim açısından büyük kolaylık sağlar. Tüm mimarinin yetkileri belirlendikten sonra uygun kullanıcı grupları tanımlanarak yetki onlara verilir. Gruba yeni kullanıcı eklendiğinde ve çıkartıldığında herhangi bir değişiklik yapma ihtiyacı olmaz.